短短半个月,就发生了两起与二维码有关的社交事件,都引发了广泛的讨论。 QQ账号被集体盗用。针对此事,腾讯QQ官博回应称:“主要原因是用户扫描了不法分子伪造的游戏登录二维码并授权登录,然后被不法分子用来发送不良图片广告。”图片来源:微博@腾讯QQ 虽然这个解释不能解释为什么很多很久没登录的古账号也被“后天”了,但是点这里不表态,只是从表面解释,“二维码”是此次事件的最大罪魁祸首。 前不久,“储户红码维权”事件也让“健康码滥用暴露权力任性”现象浮出水面。两起事件的性质虽然不同,但都反映了一个问题:二维码作为某种媒介,在一些“有心人”的利用下误入歧途。 中国是名副其实的二维码国度。无论是旅游、购物、点餐还是订票,“扫一扫”几乎已经成为大多数人的习惯。疫情期间,二维码作为非接触式追踪的重要工具,应用范围进一步扩大,扫码登记成为常态。 但在快捷方便的扫码动作背后,二维码真的有想象中那么安全吗? “墙外花墙内香”二维码,即QRCode,最早由日本电装公司的滕洪元发明。有趣的是,二维码其实是由条码转化而来的,只不过与条码相比,二维码的数据存储能力有了很大的提升。 关于二维码的生成原理,简单来说就是:用特定的几何图形按排列规则在二维方向上分布,用黑白图形记录数据符号信息。白色方块代表二进制“0”;黑色块是“1”。相机识别颜色和排列以破译二维码中包含的信息。 虽然二维码是进口产品,但放眼世界,真正让二维码“遍地开花”的地方是中国。为什么会出现这种“墙外开花墙内飘香”的现象呢?主要有两个原因: 一,时机。随着智能手机的普及和移动互联网的兴起,中国移动互联网用户数量激增。巨大的市场可以说为二维码的普及扫清了C端的障碍。 其次,巨头与中小商户火上浇油。最初,二维码是微信的内置功能之一,很快二维码成为微信生态的重要组成部分。随后,腾讯和阿里在支付场景上全力圈地,再加上中小商户在这个过程中的“大力帮助”,让二维码在中国得以快速推广。毕竟与其他支付方式相比,二维码的成本太低了。无需POS机,无需NFC模块,扫码支付只需一个摄像头。可谓“一机在手,支付无忧”。 在实现效果上,二维码类似于网址缩短服务,可以即时访问网站、联系方式等信息。然而,随着公众对二维码的依赖程度越来越高,其特性也正被一些危险分子利用来进行犯罪活动。最容易混淆的一点是二维码与二维码太相似了。 你可能对来源不明的链接有所警惕,但二维码似乎“对人畜无害”。因为二维码乍一看都一样,看不到域名,也看不到域名背后的网页和应用程序。再加上“扫码”这个动作毫不费力,自然为潜在的网络攻击提供了可乘之机。隐形威胁 二维码不受任何限制地发布,二维码生成器无处不在,更容易让不法分子进行诈骗活动。利用二维码将目标用户引导至钓鱼登陆页面的情况并不少见,受害者“扫码一会,扫完‘火葬场’”的情况并不少见。 一般来说,不法分子利用二维码达到恶意的目的有以下几种:1.“以假乱真”。这一招没什么技术含量,但一不小心就会上当受骗。攻击者在常规支付二维码旁边粘贴一个伪造的二维码。如果用户一不留神,就会扫描一个假的二维码,直接跳转到支付界面。因此,我们必须警惕几种并列二维码,尤其是印刷二维码。2.“换头”钓鱼。攻击者基于二维码极度相似“换头”,利用伪造的二维码将用户引导至高仿官网的钓鱼网站,不法分子可乘机而入要求用户在钓鱼网站上提供身份验证信息,然后操纵其账户。这种欺骗用户的方法本质上是一种钓鱼攻击。3.“免费WiFi”陷阱。攻击者使用免费WiFi作为诱饵,向扫描其二维码的人提供特定的WiFi网络。一旦连接到设备,攻击者就可以拦截用户共享的数据并窃取可识别的个人资料和帐户信息。 4。暗化陈仓的“木马”。以降价或打赏为诱饵,要求受害人扫描二维码加入会员,其实是自带木马病毒。或以安装或更新软件为由,引导用户进入非官方应用商店,让用户在没有警告的情况下下载病毒、木马或其他类型的恶意软件,造成数据和隐私泄露。扫码前请慎重 关于QQ号被盗和二维码安全隐患的话题,“51CTO技术社区”的开发者也发表了自己的看法。 首先,技术无罪,二维码本身不是祸源。正如开发者[hmxingkong]提到的:“扫码本身没有问题,关键是代码被人换成了钓鱼系统的入口,谁扫码授权谁上当,系统就难了识别。” 另外,既然肉眼无法辨别真伪,那就不要随便扫码,一定要三思而后行。 对于个人用户,开发者[COW]的建议是”始终在受信任的设备上使用在线账户”。尽量避免在不熟悉的计算机和网站上扫描二维码,只扫描受信任对象的代码,并在登录前务必仔细确认提示。 对于企业和平台,自我防范意识和措施需要进一步加强,例如:定期对其网站和应用程序进行信用检查,确保代码和链接地址未被篡改;增强员工的网络安全意识,包括但不限于设置唯一密码,设置多因素认证等,对于远程员工,需要进行适当的网络安全培训;对于某些应用,禁止自动跳转,允许用户在使用前预览访问该网站,然后判断该网站是否值得信赖;做好用户数据的选择。对此,开发者【大苹果】提到两点:“一是根据公司业务性质,用户数据存储三五年后会被强制删除,不留底。二是如果有没有什么好的办法防止数据泄露,那就在一定时间内把数据格式化吧。结论 工具没错,但工具也是最容易“背锅”的。刀一样,二维码也是。 很多人没有意识到,个人数据经常会在不经意间泄露。例如,账单上的快递信息、公共场所的WiFi、促销二维码等。在可预见的未来,二维码可能会被更频繁地使用,并且届时“舍得人”的手段可能会更加多样化。当更大的风险来临之前,提高自我意识是关键。因为“魔鬼总是藏在细节??中。” 参考链接: https://threatpost.com/qr-codes-sneaky-security-threat/159757/ https://baijiahao.baidu.com/s?id=1736781617963575083&wfr=spider&for=pc
